«Взлом протокола SIR.trading: $355,000 похищены в результате уязвимости Ethereum»

30 марта DeFi-протокол SIR.trading, функционирующий в сети Ethereum и известный как Synthetics Implemented Right, понес убытки в размере $355 000 своего общего заблокированного объема (TVL) из-за хакерской атаки. Напоминание об инциденте первым дали аналитики из TenArmorAlert и Decurity.

Как сообщили последние, злоумышленники нацелились на функцию «уязвимого контракта Vault», использующую временное хранилище Ethereum для верификации инициатора вызова.

Согласно информации Decurity, в самом начале атаки хакер с помощью метода брутфорса получил доступ к vanity-адресу, предоставив необходимые параметры для эмиссии запрашиваемого количества токенов, так как значение переменной amount указывало на контролируемый адрес. Затем он заменил настоящий адрес пула Uniswap на свой собственный кошелек. Многочисленные вызовы этой функции привели к полному опустошению TVL протокола, отметили в TenArmorAlert.

Аналитик SupLabsYi из компании Supremacy пришел к заключению, что данная атака подчеркивает потенциальные проблемы с безопасностью временного хранилища Ethereum. Эта функция была добавлена в сеть в рамках обновления Dencun, проведенного в прошлом году, с целью снижения комиссии.

«Это не просто угроза, касающаяся конкретного экземпляра uniswapV3SwapCallback», — подчеркнул эксперт SupLabsYi, предложив защитить функцию путем добавления «контрольной точки состояния».

Основатель протокола SIR.trading, известный под ником Xatarrer, назвал взлом «наихудшей новостью» из возможных, хоть и добавил, что команда намерена сохранить протокол в действующем состоянии.

Эксперты TenArmorSecurity зафиксировали перемещение украденных средств на адрес Ethereum-миксера Railgun. Xatarrer обратился к команде этого сервиса за помощью в возврате средств.

SIR.trading позиционирует себя как «инновационный DeFi-протокол для более безопасного кредитного плеча». В документации проекта содержится предупреждение о потенциальных ошибках в смарт-контрактах, которые могут привести к финансовым потерям.

Стоит напомнить, что в сентябре 2024 года хакер скомпрометировал адрес деплоя DAI практически во всех L2-сетях.